Rendere un server sicuro dagli attacchi brute force?
Poniamo il caso che per sferrare un attacco brute force, ad esempio per scoprire la password di un utente di google o facebook o quella di una grande azienda molto sicura, siano necessari tantissimi tentativi. A parte le solite misure difensive che costringono l'utente ad inserire un codice captcha se si sbaglia la password un tot di volte, ci sono altri modi per avere un server sicuro? Cioè che ne so ad esempio si potrebbe fare in modo che il tempo tra un tentativo e l'altro sia più lungo. Ci sono altre idee? O modi conosciuti già messi in pratica?
Risposte
I captcha "vecchi" si bypassano facile (tanto per intenderci quelli in cui esce la foto e devi riconoscere la scritta). Ultimamente ho visto dei captcha versione "giochi" in cui devi giocare a basket o giocare a golf, sicuramente quelli sono molto più complicati. Tanto per farti un esempio dopo n tentativi consecutivi potresti permettere un nuovo tentativo dopo un certo lasso di tempo come hai suggerito tu (e come mi sembra che facciano già facebook e google). La prima cosa che mi viene in mente è che se ti fanno un certo numero richieste potresti mettere in black list ip che le fa. Indubbiamente l'attaccante può usarne un altro in futuro, ma se lo combini con gli altri metodi diventa tutto più complicato.
Telegram ad esempio se rileva un accesso da un altro host ti invia un sms dicendoti da dove arriva l'accesso sconosciuto, oppure ad esempio se il servizio mail di Libero (buggata come pochi.. ma vabbè), se rileva anche lei un accesso da host sconosciuti ti invia un sms con un codice per poter accedere.
Telegram ad esempio se rileva un accesso da un altro host ti invia un sms dicendoti da dove arriva l'accesso sconosciuto, oppure ad esempio se il servizio mail di Libero (buggata come pochi.. ma vabbè), se rileva anche lei un accesso da host sconosciuti ti invia un sms con un codice per poter accedere.
Curiositá... In che modi potrebbero essere bypassati i vecchi captcha? Non me ne viene in mente nessuno xD
In realtà il riconoscimento di caratteri è un problema praticamente risolto da parte dell'intelligenza artificiale. C'è un famoso articolo di diversi anni fa (credo almeno dieci) in cui si confrontavano le performance di un sistema basato su reti neurali e addetti delle poste nel riconoscimento degli indirizzi sulle buste. Il computer si comportava meglio. Di fatto quei sistemi non sono mai stati granché sicuri. È ovviamente più complicato di non avere nulla, ma considerando le difficoltà che noi stessi abbiamo nel riconoscere le scritte quando molto deformate.. non è così difficile per il computer.
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo